Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2394 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

2 physical eth-devices on same Ethernet allowed?

isenberg_01
I'm using the following network device configuration on the outside interfaces:

eth0: unencrypted Internet traffic
eth1: all IPsec Internet traffic for site-to-site VPNs

Both devices are connected on the same Ethernet switch.

The reason for this: I want to have dedicated traffic analysis for all IPsec traffic and a simple and safe reject rule for all RFC1918 private networks coming in or sending out wrongly via eth0. I additional want to have an own IP address for the IPsec gateway and as IPsec cannot be used on a device alias, this seems to be the only solution.

Is this configuration technically allowed? I'm wondering, as sometimes a "tcpdump -i eth0" shows response packets from requests going out over eth1 IPsec.


This thread was automatically locked due to age.
Parents
  • 0
    Both external networks do exists, but one is routed via the others defaults gateway, so no multipath or loadbalancing possible.

    With the 2nd NIC for ipsec0 I tried to recreate the following simplified rules I would use on a bare iptable firewall:

    iptables -A INPUT -i eth0 -d myexternalnet/25 -j ACCEPT
    iptables -A INPUT -i eth0 -j REJECT
    iptables -A INPUT -i ipsec0 -d mylocalnet/24 -j ACCEPT
    iptables -A INPUT -i ipsec0 -j REJECT

    As the interface attribute can only be given to a NIC on astaro and not the ipsec virtual NIC, I used the 2nd hardware NIC not being aware of possible problems with that.

    Your suggestion with the SNAT should indeed solve the situation, even without any change on the remote IPsec clients. I'll move the ip addr of eth1 to an alias on eth0, switch off eth1 and set eth0 as IPsec gateway with the SNAT rule on the former eth1 addr. 

    Bob, Barry, thanks for your suggestions and information!
Reply
  • 0
    Both external networks do exists, but one is routed via the others defaults gateway, so no multipath or loadbalancing possible.

    With the 2nd NIC for ipsec0 I tried to recreate the following simplified rules I would use on a bare iptable firewall:

    iptables -A INPUT -i eth0 -d myexternalnet/25 -j ACCEPT
    iptables -A INPUT -i eth0 -j REJECT
    iptables -A INPUT -i ipsec0 -d mylocalnet/24 -j ACCEPT
    iptables -A INPUT -i ipsec0 -j REJECT

    As the interface attribute can only be given to a NIC on astaro and not the ipsec virtual NIC, I used the 2nd hardware NIC not being aware of possible problems with that.

    Your suggestion with the SNAT should indeed solve the situation, even without any change on the remote IPsec clients. I'll move the ip addr of eth1 to an alias on eth0, switch off eth1 and set eth0 as IPsec gateway with the SNAT rule on the former eth1 addr. 

    Bob, Barry, thanks for your suggestions and information!
Children
No Data